Доктор Веб: Обзор вирусной активности за 2012 год


Hit WebПрошедший 2012 год запомнился:

  • крупнейшей в истории эпидемией троянской программы Backdoor.Flashback.39 для "маков".
  • обнаружением и заражением огромным количеством разновидностей троянов-энкодеров.
  • обнаружением бот-сетей на основе файлового вируса Win32.Rmnet.12.
  • возросшим разнообразием угроз для мобильной платформы Google Android.

Крупнейший ботнет для Mac OS X

Появление троянской программы Backdoor.Flashback.39 - вредоноса для Apple-совместимых компьютеров, стало одним из самых ярким событием 2012 года в сфере информационной безопасности. Впервые это вредоносное ПО было обнаружено еще в конце марта 2012 года, а уже 4 апреля этого же года появилось информационное сообщение о выявлении крупнейшего в истории ботнета, работающего под управлением Mac OS X. В конце марта в вирусную лабораторию Доктор Веб стали поступать сообщения о распространении троянов для Mac OS X с использованием уязвимости Java. Именно тогда и возникло предположение, что Backdoor.Flashback.39 способен объединять "маки" в бот-сети. Аналитики компании изучили алгоритм, используемый этим трояном для генерации имен управляющих серверов, и зарегистрировали несколько таких имен. Уже в первые сутки стало понятно, что количество зараженных "маков" превысило 600 000 и продолжает стремительно расти. География распространения инфекции также была весьма обширной:

Geografiya rasprostr Backdoor.Flashback
География распространения Backdoor.Flashback.39

В течении последующих 10 дней размер бот-сети достиг максимальной отметки в 670 000 с лишним одновременно работающих инфицированных компьютеров (более 800 000 уникальных компьютеров с учетом "излечившихся"), а далее постепенно пошел на спад.

Основной причиной эпидемии стало то, что корпорация Apple выпустила обновление безопасности для собственной реализации Java только спустя два месяца после аналогичного обновления, опубликованного корпорацией Oracle. Это позволило злоумышленникам безнаказанно распространять вредоносное ПО в течение длительного времени. Другой причиной стало то, что пользователи слишком уж доверяют продукции Apple, а точнее в ее абсолютную защищенность. Подтверждением этого факта было то, что число инфицированных "маков" продолжало увеличиваться даже после сообщения представителями компании Доктор Веб на весь мир об этой угрозе.

Dnamika izmeneniya chislennosti bot-seti Backdoor.Flashback
Динамика изменения численности бот-сети Backdoor.Flashback.39 за 2012 год

Проведенные аналитиками компании "Доктор Веб" исследования, позволили определить ряд характеристик ботнета, исходя из анализа обращений этой вредоносной программы к управляющим серверам.

Распределение запросов по версии ядра операционной системы

Raspred zaprosov po versiyam yadra OS


Распределение запросов по наличию или отсутствию администраторских привилегий

Raspred zaprosov po nalichiu ili otsutstviu admin privilegii


Распределение запросов по типу платформы

Raspred zaprosov po tipu platformi

В декабре 2012 года рост бот-сети Backdoor.Flashback.39 практически полностью остановился, однако во всем мире еще насчитывается несколько десятков тысяч инфицированных "маков".

Поскольку популярность системной платформы от Apple постепенно растет, а пользователи этой ОС не привыкли использовать антивирусное программное обеспечение, Mac OS X становится лакомым куском для многочисленных злоумышленников.


Файловые вирусы и другие ботнеты

Файловый вирус Win32.Rmnet.12 за 2012 год побил все мыслимые рекорды, образовав бот-сеть, состоящую из шести с половиной миллионов инфицированных узлов.

Win32.Rmnet.12 — сложный многокомпонентный файловый вирус, состоящий из нескольких модулей и обладающий способностью к саморазмножению, то есть способен копировать сам себя и бесконтрольно распространяться без участия пользователя. Этот вирус заражает ПК на базе Microsoft Windows, реализуя функции бэкдора, а также осуществляя кражу паролей от популярных FTP-клиентов. Win32.Rmnet.12 может дать также команду на уничтожение операционной системы. Его вредоносный функционал позволяет:

  • встраивать в просматриваемые веб-страницы посторонний контент (веб-инжекты);
  • перенаправлять пользователя на указанные злоумышленниками сайты;
  • передавать на удаленные узлы содержимое заполняемых жертвой форм.


Поэтому этот вирус и представляет существенную опасность для пользователей.

Наибольшее распространение данный вирус получил в странах юго-восточной Азии, таких как Индонезия, Бангладеш, Вьетнам, Индия и Пакистан. Однако имеется значительное число инфицированных машин и в России.

Заражение вирусом Win32.Rmnet.12 происходило на протяжении всего 2012 года. И к концу года достигло рекордной отметки в 6,5 млн.

Динамика изменения численности ботнета Win32.Rmnet.12 в 2012 году

Dnamika izmeneniya chislennosti bot-seti Win32.Rmnet12

Поскольку тенденций к снижению роста данной угрозы не наблюдается, можно предположить, что вирус Win32.Rmnet.12 продолжит свое распространение. При расширении ботнета прежними темпами, можно предположить, что в 2013 году общая численность зарегистрированных в сети инфицированных компьютеров превысит 10 миллионов.

Одной из наиболее распространенных модификаций файлового вируса Win32.Rmnet.12 является Win32.Rmnet.16. Основным отличием данной вредоносной программы от ее предшественницы заключается том, что она использует цифровую подпись, которой подписывается IP-адрес управляющего сервера. Также вирусописатели обновили основные функциональные модули приложения.

Raspoloj botneta Win32.Rmnet.16 po stranam

Ботнет Win32.Rmnet.16 наиболее распространен на территории Великобритании и Австралии. Однако численность этой бот-сети значительно скромнее по сравнению с Win32.Rmnet.12. Общее число заражений за 2012 года также постепенно росло, однако гораздо менее высокими темпами.

Динамика изменения численности ботнета Win32.Rmnet.16 в 2012 году

Dnamika izmeneniya chislennosti bot-seti Win32.Rmnet.16

Имеющаяся в распоряжении специалистов компании статистика показывает, что прирост численности ботнета Win32.Rmnet.16 будет понемногу сокращаться, а его общий объем не превысит миллион инфицированных узлов. Это конечно при условии, что лавинообразному росту заражений не поспособствуют какие-либо непредвиденные обстоятельства.

В ноябре 2011 года специалистами компании была обнаружена узкоспециализированная троянская программа BackDoor.Dande, предназначенная для кражи информации у российских фармацевтических компаний и аптек.

BackDoor.Dande — сложный многокомпонентный троян, шифрующий свои модули ключом, привязанным к конкретной инфицированной машине, и самостоятельно загружающий их в память. Благодаря данному функционалу, детектировать его вредоносные модули можно только в оперативной памяти зараженного компьютера, а расшифровать их отдельно от инфицированного ПК крайне сложно. Кроме того, загрузчик модулей встраивается в первую секцию одной из системных библиотек Windows, в результате чего по формальным признакам ее становится невозможно отличить от незараженной библиотеки. Троян крадет данные из "систем электронного заказа". К таким системам относятся:

  • специализированная конфигурация "Аналит: Фармация 7.7" для платформы 1С;
  • "Система электронного заказа" СЭЗ-2 производства компании "Аптека-Холдинг";
  • программа формирования заявок компании "Российская Фармация";
  • система электронного заказа фармацевтической группы "Роста";
  • программа "Катрен WinPrice" и некоторые другие.

На конец декабря 2012 года бот-сеть BackDoor.Dande продолжала действовать. С учетом того, что троян продолжает работу только на компьютерах, где установлена одна из систем электронного заказа медикаментов (при ее отсутствии самоудаляется), можно с уверенностью сказать, что в бот-сети BackDoor.Dande состоят преимущественно рабочие станции, принадлежащие аптекам и фармацевтическим компаниям. На 19 декабря 2012 года численность зараженных компьютеров в ботнете BackDoor.Dande составила - 3031 инфицированных машин.

Динамика изменения численности ботнета BackDoor.Dande за 2012 год

Dnamika izmeneniya chislennosti bot-seti Backdoor.Dande


Трояны-кодировщики

По приблизительным подсчетам за 2012 год от действия троянов-кодировщиков пострадали тысячи человек по всему земному шару. А в вирусные базы Dr.Web было добавлено множество новых модификаций троянов данного типа.

Динамика изменения о помощи в лечении последствий заражения Trojan.Encoder за 2012 год

Dinamika zaprosov o pomoshi v lechenii posledstvii zarajenii TrojanEncoder za 2012

Появление первых версий троянов-кодировщиков было зафиксировано еще в 2009 году. Энкодеры отыскивают на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, изображения и архивы, после чего шифруют их. За расшифровку файлов злоумышленники требуют заплатить определенную денежную сумму.

Длительное время от действий троянов-кодировщиков страдали в основном пользователи России и стран бывшего СССР. С весны 2012 года вредоносные программы семейства Trojan.Encoder вышли на зарубежные просторы. Один из первых троянов-вымогателей, ориентированных на западную аудиторию, стал Trojan.Encoder.94. Троян имел англоязычный интерфейс, и был зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Впервые пострадавшие от Trojan.Encoder.94 зарубежных пользователей были зафиксированы 9–10 апреля 2012 года. Вскоре в службу технической поддержки компании "Доктор Веб" стали обращаться пользователи из Латинской Америки (Бразилии и Аргентины), а также таких европейских стран как Франция, Бельгия, Швейцария, Нидерланды, Хорватия, Словения, Венгрия и Румыния.

К декабрю 2012 соотношение "российских" и "зарубежных" энкодеров составляло примерно 50/50. Основной всплеск распространения шифровальщиков, ориентированных на западный рынок, пришелся на апрель-май 2012 года. Имеющаяся у специалистов компании статистика указывает на то, что в наступающем 2013 году число энкодеров, направленных на зарубежных пользователей ПК, будет стремительно расти. А распространенность этой категории угроз вполне может принять масштабы эпидемии.


Винлоки

Trojan.Winlock - трояны-вымогатели, парализующие нормальную работу операционной системы и требующие у пользователя заплатить определенную сумму за ее разблокировку. В течение 2012 года появлялись новые модификации винлоков. В течение года в службу технической поддержки "Доктор Веб" обратилось более 10 000 пользователей, пострадавших от действия троянов-блокировщиков.

Динамика изменения о помощи в лечении последствий заражения Trojan.Winlock за 2012 год

Dinamika zaprosov o pomoshi v lechenii posledstvii zarajenii Trojan

Осенью 2012 года было зафиксировано распространение нового типа троянов-блокировщиков - "мультилокеры". Данные трояны не содержат каких-либо изображений, текстовых ресурсов или иных компонентов, обычно демонстрируемых подобными вредоносными приложениями на экране компьютера при блокировке Windows. Все необходимые элементы мультилокеры загружают с удаленного сервера, что позволяет злоумышленникам оперативно настраивать демонстрируемые на экране инфицированного компьютера текст, изображения, а также менять код разблокировки.

На зараженном ПК, трояны-мультилокеры блокируют возможность загрузки ряда приложений и системных утилит. Некоторые модификации этих вредоносных программ способны перехватывать изображение с подключенной к зараженному компьютеру веб-камеры и демонстрировать его в блокирующем систему окне с целью запугивания пользователя. Текст сообщений, написанный якобы от имени государственных правоохранительных структур, запугивает пользователя тем, что указывает, будто все действия жертвы на данном компьютере записываются, а портрет жертвы, полученный с помощью веб-камеры, сохраняется для последующей идентификации и получения дополнительной персональной информации.

Ihr Computer Wurde BLOCKIERT

Подобные угрозы были зафиксированы в Канаде, Испании, Германии, Франции, Италии, Португалии, Австрии, Швейцарии, Великобритании, Австралии, США и нескольких других странах. Для получения оплаты злоумышленники обычно используют ваучерные платежные системы

  • Ukash;
  • Moneypack;
  • Paysafecard.


Проведя анализ троянов-вымогателей, специалисты компании пришли к выводу, что вирусописатели понемногу отказываются от винлоков традиционной архитектуры, а делают акцент на усложнение их конструкции и рост функциональных возможностей. Можно предположить, что подобные троянцы будут с определенной периодичностью появляться на свет и в следующем году, а их функциональность продолжит расширяться.


Наиболее важные события в сфере информационной безопасности

В 2012 году был отмечен значительный рост числа взломов веб-сайтов с целью распространения вредоносного ПО:

  • Первая волна хакерских атак была зафиксирована в начале года, когда оказалось взломано от нескольких десятков до сотен тысяч сайтов. На скомпрометированных ресурсах злоумышленники размещали содержащие уязвимость сценарии. В большинстве случаев через эти ресурсы распространялся известнейший троян для Mac OS X Backdoor.Flashback.39.

  • Следующая волна взлома интернет-ресурсов пришлась на середину августа, когда в российском сегменте Интернета было скомпрометировано несколько тысяч сайтов с целью распространения троянов для мобильных платформ.

  • В декабре были зафиксированы случаи взлома популярных порталов, в частности, официального сайта далай-ламы. Злоумышленники ставили своей целью заразить компьютеры посетителей этих сайтов вредоносными программами для ОС Windows и Mac OS X.


В минувшем году киберпреступники весьма активно использовали в своих целях различные уязвимости Java. Например:

  • Весной 2012 года злоумышленники распространяли с использованием уязвимости CVE-2012-0507 вредоносные программы семейства Trojan.Carberp и бэкдор для Mac OS X Backdoor.Flashback.39.

  • В июле было зафиксировано использование уязвимости CVE-2012-1723 в популярном среди злоумышленников наборе эксплойтов BlackHole.

  • 26 августа была обнаружена очередная критическая уязвимость Java, использующаяся злоумышленниками в направленных атаках на компьютеры, работающие под управлением Mac OS X, Linux и Windows.


С момента обнаружения критической уязвимости в Java 7 до планового выпуска обновлений Java-машины было около двух месяцев. Следовательно, примерно 2 месяца вредоносное ПО имело бы возможность потоком идти через эту "не залатанную дыру" в Java, а также перенаправлять пользователей на вредоносные ресурсы посредством взломанных сайтов. Действия компании Oracle в данной ситуации не были оперативными, из-за чего вредоносное ПО проникло на компьютеры незащищенных пользователей. С выходом очередного обновления Java в сентябре 2012 года специалисты в области компьютерной безопасности обнаружили еще несколько критических уязвимостей этой платформы. Далее, в начале ноября была обнаружена zero-day уязвимость в программе Adobe Reader (версиях 10 и 11). С помощью данной уязвимости злоумышленникам удавалось запускать на компьютере жертвы вредоносное приложение. Сам содержащий уязвимость файл киберпреступники распространяли в Интернете, а также рассылали по электронной почте.

Самым резонансным событием в сфере информационной безопасности стало обнаружение специалистами одной из антивирусных компаний вредоносной программы Win32.HLLW.Flame — сложного многокомпонентного вредоносного приложения, размером более 6 Мб, в результате чего был прозван специалистами "Доктор Веб" - "троянским слоном". Программа обладает весьма обширными функциональными возможностями, однако "в дикой природе" практически не встречается.

Следующее немаловажное событие в мире информационных технологий - ликвидация в июле 2012 года ботнета BackDoor.BlackEnergy.

BackDoor.BlackEnergy - крупнейшая бот-сеть, ориентированная на массовую рассылку спама, а также проведение DDoS-атак. Прекращение ее деятельности достаточно быстро привело к снижению объемов спам-трафика начиная с июля 2012 года. Однако, несмотря на уничтожение главных управляющих центров BackDoor.BlackEnergy, специалистами компании было зафиксировано несколько более мелких командных серверов этой сети, продолжавших свою деятельность и после опубликованных в прессе заявлений об уничтожении данной бот-сети. Спустя несколько месяцев прекратили свое существование и эти серверы, поэтому ботнет BackDoor.BlackEnergy теперь можно считать полностью ликвидированным.


Мошенничество в Интернете

В начале мая злоумышленники устроили атаку на пользователей Facebook. Заглянув на свою страницу в этой социальной сети, пользователь обнаруживал в новостной ленте ссылку на программу Profile Visitor, якобы способную фиксировать и демонстрировать на специальной странице посетителей его профиля. Ссылка публиковалась якобы от имени одного из друзей пользователя и вела на страницу встроенного приложения Facebook, для активации которого требовалось разрешить программе публиковать контент от имени пользовательской учетной записи. Если ничего не подозревающая жертва нажимала на кнопку "Разрешить", то на стене ее профиля и в новостной ленте всех ее друзей появлялась ссылка на данное приложение, размещенная от имени жертвы. Однако даже если пользователь не разрешал программе какие-либо публикации, все, кто зарегистрирован в списке его друзей, получали "отметку" на "фотографии", представляющей собой рекламный баннер-ссылку приложения Profile Visitor. С помощью этого баннера пользователь перенаправлялся на различные мошеннические сайты.

В конце того же месяца многие российские пользователи стали жертвами массовой рассылки электронных писем, отправленных от имени Сбербанка. В сообщении говорится о том, что получатель "превысил максимальную отсрочку платежа", и предлагается ссылка, якобы позволяющая просмотреть статистику. По ссылке на компьютер жертвы загружался файл

  • .SCR

в RAR или ZIP-архиве либо в незапакованном виде. При попытке открыть этот файл хранящиеся на жестком диске компьютера документы и изображения оказывались зашифрованными, а за их расшифровку злоумышленники требовали заплатить определенную сумму.

Sberbank Rossii s soobsheniem o zadoljennosti

В июне письма с вредоносным содержимым чаще всего отправлялись якобы от имени почтовых служб UPS и EMS. В сообщениях говорилось о том, что служба не смогла доставить пользователю почтовое сообщение, а за подробностями злоумышленники советовали обратиться к вложенному в сообщение файлу, в котором скрывалась троянская программа.

Также сетевые мошенники освоили новый способ обмана пользователей, озадаченных поиском работы. Злоумышленники создавали на специализированных ресурсах учетную запись несуществующей компании с громким и запоминающимся названием. Затем по электронной почте мошенники отправляли соискателям сообщение с предложением занять некую вымышленную вакансию. Для этого потенциальной жертве следовало пройти "онлайн-собеседование" на определенном сайте, созданном специально для этой цели. "Онлайн-собеседование" состояло из нескольких десятков примитивных вопросов. После прохождения "теста" жертве предлагалось отправить СМС-сообщение "с личным кодом результата" на короткий номер и ввести в соответствующее поле код подтверждения, полученный в ответном сообщении. Таким образом, пользователь соглашался с условиями "псевдоподписки" — услуги по предоставлению доступа к информации, за оказание которой со счета его мобильного телефона регулярно списывалась определенная сумма.


Наиболее интересные угрозы года

Одной из наиболее ярких тенденций четвертого квартала стало резкое снижение числа заражений пользовательских компьютеров троянской программой Trojan.Mayachok.1, возглавлявшей список наиболее опасных угроз с начала 2012 года. Прежде всего это связано с тем, что вирусописатели начали активно модифицировать данную троянскую программу. В результате чего к концу декабря в базах Dr.Web насчитывалось уже более 1 000 соответствующих записей. Изменениям подвергся, как сам код вредоносной программы, так и ее функционал.

Вредоносные программы Trojan.Mayachok обладают возможностью встраивать в просматриваемые пользователем веб-страницы постороннее содержимое. Например, блокировать таким образом доступ к Интернету и требовать плату за его разблокировку. Можно предположить, что новые версии троянов этого семейства будут появляться и в дальнейшем.

В конце июня специалистами компании был проведен анализ вредоносной программы Trojan.Hottrend - самый маленький из известных на сегодняшний день банковский троян. Его размер составляет - всего 20 КБ. Основное предназначение этой вредоносной программы — отслеживание сетевого трафика с целью перехвата конфиденциальной (в том числе банковской) информации, которая впоследствии передается злоумышленникам.

Один из самых интересных троянов, исследованный вирусными аналитиками в 2012 году - BackDoor.DaVinci.1. Главная отличительная особенность этого троянского приложения в том, что оно способно работать как в операционной системе Microsoft Windows, так и в Mac OS X. Известно о реализации данной угрозы, представляющей опасность для мобильных платформ.

BackDoor.DaVinci.1 - представляет собой многокомпонентный бэкдор, включающий большое количество функциональных модулей, в том числе драйверы, использующие руткит-технологии для сокрытия работы приложения в операционной системе.

BackDoor.DaVinci.1 позволяет устанавливать полный контроль над инфицированным компьютером. Троян сохраняет и передает злоумышленникам:

  • информацию о зараженной машине;
  • фиксирует нажатие клавиш;
  • способен делать снимки экрана;
  • перехватывать сообщения электронной почты, ICQ, Skype;
  • передавать данные с микрофона или подключенной к компьютеру видеокамеры.


Также бэкдор обладает обширным функционалом по обходу антивирусных программ и персональных брандмауэров, благодаря чему может в течение длительного времени работать на инфицированной машине незаметно для пользователя. Интересная особенность реализации BackDoor.DaVinci.1 для Mac OS X в том, что впервые в данной платформе используются руткит-технологии для сокрытия файлов и процессов.

Trojan.KillFiles.9055 - троян, распространяющийся по электронной почте в сообщениях с призывами присоединиться к протестным акциям 5 марта 2012 года. Тело трояна располагалось непосредственно в макросе, встроенном в приложенный к письму документ Word. Вредоносная программа сохранялась на диск и выполнялась в момент открытия документа. Запустившись на компьютере жертвы, Trojan.KillFiles.9055 вызывал зависание ОС Windows. Одновременно троян менял содержимое всех обнаруженных на диске С файлов (с расширением .msc .exe .doc .xls .rar .zip .7z) на "цифровой мусор" и помечал их на удаление после перезагрузки системы, вследствие чего Windows приходила в нерабочее состояние. Затем троян отправлял на удаленный сервер злоумышленников сообщение о том, что операционная система успешно уничтожена.


Атаки на Android

Число угроз, ориентированных на ОС Android, в 2012 году продолжило неуклонно расти. В первую очередь это связано с тем, что мобильные устройства под управлением этой операционной системы продолжают занимать все более прочное положение на рынке. Согласно последнему исследованию компании IDC, в третьем квартале 2012 года три четверти поставляемых смартфонов работали именно на этой платформе.

Распределение различных типов угроз для ОС Android за 2012 год

Raspred razlichnih tipov ugroz dlya OS Android za 2012

Наиболее распространенной и массированной угрозой по-прежнему остаются трояны семейства Android.SmsSend, основная функция которых - отправка дорогостоящих СМС-сообщений и подписка пользователей на различные контент-услуги. Подавляющее большинство троянов Android.SmsSend с технологической точки зрения является примитивными разработками, однако простота создания и высокая окупаемость побуждают киберпреступников выпускать бесчисленные модификации этих вредоносных программ.

Одной из наиболее заметных тенденций 2012 года стало существенное увеличение числа троянских программ-шпионов для ОС Android. Весьма показательным стало появление целого ряда троянов, атаковавших с середины 2012 года японских пользователей. Все эти вредоносные программы распространялись при помощи спам-писем ссылкой на загрузку якобы полезного приложения. Программы-шпионы предназначались для кражи персональной информации, такой как адреса электронной почты. Также были обнаружены и новые представители банковских троянов, в частности:

  • Android.SpyEye.2.origin;
  • Android.Panda.2.origin;
  • Android.FakeSber.1.origin.


Последний предназначался для атаки на клиентов одного из крупнейших российских банков, в то время как другие вредоносные программы данного типа раньше представляли угрозу лишь для зарубежных пользователей. Это указывает на то, что география применения таких вредоносных программ постепенно расширяется. И хотя банковские трояны для ОС Android все еще встречаются нечасто, они все же представляют серьезную опасность из-за точечного и хорошо спланированного характера атак. Появление первой подобной вредоносной программы в России может стать отправной точкой к увеличению инцидентов с их участием.

В 2013 году стоит ожидать увеличения количества потенциально опасных программ, а также различных троянов-шпионов. Весьма вероятной представляется угроза со стороны APT-кампаний (атак с перебором различных видов угроз и уязвимостей до получения результата), в которых будут использоваться Android-трояны. Все большее число Android-угроз, так или иначе участвующих в краже конфиденциальной информации, применяется в узконаправленных атаках. Эта тенденция в ближайшем будущем сохранится.

Одной из наиболее опасных вредоносных программ для мобильных Android-устройств в 2012 году стал троян Android.SmsSend.186.origin. От большинства других представителей этого семейства он отличается весьма продвинутыми методами сокрытия вредоносного функционала.
Во-первых, при его распространении был использован дроппер, не требующий для работы никаких специальных разрешений.
Во-вторых, после установки Android.SmsSend.186.origin заставлял пользователя предоставить ему права администратора мобильного устройства, а после их получения на некоторых версиях ОС Android его было очень сложно удалить.


Вероятно, что в 2013 году появятся новые вредоносные программы, в той или иной степени противостоящие попыткам своего удаления, а также использующие различные техники для сокрытия своего присутствия в системе от пользователей.

Последняя версия ОС Android 4.2, вышедшая относительно недавно, содержит ряд улучшений, направленных на борьбу с вредоносным ПО. В частности:

  • добавлена функция проверки приложений, основанная на рейтинге их безопасности;
  • введена ограничивающая мера для приложений, имеющих возможность отправлять СМС-сообщения на премиум-номера. Теперь пользователи имеют возможность выбора, разрешить или запретить отправку таких СМС. Однако эффективность этих нововведений можно будет полноценно оценить лишь тогда, когда обновленная версия операционной системы станет использоваться на существенном количестве мобильных устройств. Учитывая огромный рынок совместимого с ОС Android оборудования, можно предположить, что злоумышленники найдут способы обхода новых защитных функций.


Прогнозы и перспективы

Исходя из анализа угроз, поступивших в вирусную лабораторию компании "Доктор Веб" в течение 2012 года, можно спрогнозировать основные тенденции, которые с определенной долей вероятности получат развитие в следующие двенадцать месяцев.

  • Будет расти число угроз для операционной системы Mac OS X. Возможно как распространение троянских программ, использующих для проникновения в систему различные уязвимости (в том числе уязвимости Java), так и бот-сетей, ориентированных исключительно на Apple-совместимые компьютеры.

  • Значительно увеличится "ассортимент" вредоносных приложений для мобильной платформы Android. Предполагаемые темпы роста могут составить порядка 50–100% от нынешнего числа известных угроз.

  • Продолжится рост ботнетов, ориентированных на операционную систему Microsoft Windows. Уже в первом квартале 2013 года численность зарегистрированных в бот-сети компьютеров, инфицированных файловым вирусом Win32.Rmnet.12, может превысить 10 млн. (если не будут предприняты масштабные меры, направленные на ликвидацию ботнета).

  • Возможно появление вирусов или троянских программ, эксплуатирующих уязвимости или характерные технологии, применяемые в ОС Microsoft Windows 8. Например, возможно возникновение вредоносных приложений, перехватывающих координаты GPS-модуля планшетных компьютеров, использующих эту платформу.

  • Будет расти число и усложняться функционал банковских троянов, ориентированных на перехват конфиденциальных данных и хищение информации, необходимой для работы в системах дистанционного банковского обслуживания (ДБО). Возможно увеличение количества заранее спланированных таргетированных атак на различные коммерческие структуры.

  • В целях слежения за пользователями вредоносные программы будут все чаще использовать данные, полученные с помощью веб-камер, микрофонов, GPS-приемников. Вырастет ассортимент троянов-шпионов.

  • Возможно появление угроз, использующих для осуществления атак облачные сервисы и другие распределенные системы. Увеличится количество вредоносных программ, применяющих в своих целях P2P-сети, а также сеть TOR.